21.10.2007, 21:55:42
Die Drupal-Versionen 4.7.8 bzw. 5.3 beheben eine Reihe von Sicherheitsproblemen der Vorgänger. Als besonders kritisch wird hierbei ein Fehler im Installer eingestuft.
Sofern der eingetragene SQL-Server nicht erreichbar ist, fragt der Installer den User nach einem anderen und der könnte darüber eigenen Code einschleusen.
Als schnellen Workaround schlagen die Entwickler vor, die install.php im Root-Verzeichnis unbedingt zu entfernen. Weitere Lücken in o.g. Versionen sind mit HTTP Response Splitting, Cross Site Request Forgery und Cross Site Scripting gegeben.
Für alle Schwachstellen stehen auch einzelne Patches relativ zur vorhergehenden Version bereit, die Entwickler empfehlen jedoch ein Komplett-Upgrade auf 4.7.8 beziehungsweise 5.3, da diese weitere kleinere Bugfixes enthalten. Neue Funktionen seien jedoch nicht hinzugekommen.
Sofern der eingetragene SQL-Server nicht erreichbar ist, fragt der Installer den User nach einem anderen und der könnte darüber eigenen Code einschleusen.
Als schnellen Workaround schlagen die Entwickler vor, die install.php im Root-Verzeichnis unbedingt zu entfernen. Weitere Lücken in o.g. Versionen sind mit HTTP Response Splitting, Cross Site Request Forgery und Cross Site Scripting gegeben.
Für alle Schwachstellen stehen auch einzelne Patches relativ zur vorhergehenden Version bereit, die Entwickler empfehlen jedoch ein Komplett-Upgrade auf 4.7.8 beziehungsweise 5.3, da diese weitere kleinere Bugfixes enthalten. Neue Funktionen seien jedoch nicht hinzugekommen.